入侵检测部署方案.doc

入侵检测部署方案.doc 入侵检测部署方案
需求分析
利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网 络保护，降低了网络安全风险，但是入侵者可寻找防火墙背后可能敞开的后 门，或者入侵者也可能就在防火墙内。通过部署安全措施，要实现主动阻断针 对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、 DoS/DDoS 等，能防御针对操作系统漏洞的攻击，能够实现应用层的安全防 护，保护核心信息资产的免受攻击危害。
针对网络的具体情况和行业特点，我们得到的入侵检测的需求包括以下几 个方面：
入侵检测要求
能够对攻击行为进行检测，是对入侵检测设备的核心需求，要求可以检测 的种类包括：基于特征的检测、异常行为检测（包括针对各种服务器的攻击 等）、可移动存储设备检测等等。
自身安全性要求
作为网络安全设备，入侵检测系统必须具有很高的安全性，配置文件需要 加密保存，管理台和探测器之间的通讯必须采用加密的方式，探测器要可以去 除协议栈，并且能够抵抗各种攻击。
日志审计要求
系统能对入侵警报信息分类过滤、进行统计或生成报表。对客户端、服务 器端的不同地址和不同服务协议的流量分析。可以选择不同的时间间隔生成报 表，反映用户在一定时期内受到的攻击类型、严重程度、发生频率、攻击来源 等信息，使管理员随时对网络安全状况有正确的了解。可以根据管理员的选 择，定制不同形式的报表。
实时响应要求
当入侵检测报警系统发现网络入侵和内部的违规操作时，将针对预先设置 的规则，对事件进行实时应急响应。根据不同级别的入侵行为能做出不同方式 告警，用以提醒管理人员及时发现问题，并采取有效措施，控制事态发展。报 警信息要分为不同的级别：对有入侵动机的行为向用户显示提示信息、对严重 的违规现象实行警告通知、对极其危险的攻击可通过网管或者互动防火墙进行 及时阻断、以及向安全管理中心报告。另外，必须在基于规则和相应的报警条 件下，对不恰当的网络流量进行拦截。
联动要求
入侵检测系统必须能够与防火墙实现安全联动，当入侵检测系统发现攻击 行为时，能够及时通知防火墙，防火墙根据入侵检测发送来的消息，动态生成 安全规则，将可疑主机阻挡在网络之外，实现动态的防护体系！进一步提升网 络的安全性。

Internet
局域网
网络入侵检测系统位于有敏感数据需要保护的网络上，通过实时侦听网络 数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和 未授权的网络访问时，网络监控系统能够根据系统安全策略做出反应，包括实 时报警、事件登录，或执行用户自定义的安全策略等。
入侵检测系统可以部署在网络中的核心，这里我们建议在网络中采用入侵
检测系统，监视并记录网络中的所有访问行为和操作，有效防止非法操作和恶 意攻击。同时，入侵检测系统还可以形象地重现操作的过程，可帮助安全管理 员发现网络安全的隐患。
需要说明的是， IDS 是对防火墙的非常有必要的附加而不仅仅是简单的补 充。入侵检测系统作为网络安全体系的第二道防线，对在防火墙系统阻断攻击 失败时，可以最大限度地减少相应的损失。 IDS 也可以与防火墙、内网安全管 理等安全产品进行联动，实现动态的安全维护。
入侵检测系统解决的安全问题包括：
对抗蠕虫病毒：针对蠕虫病毒利用